Aracılığıyla paylaş

Sıfır Güven ile görünürlük, otomasyon ve düzenleme

  • Makale

Sıfır Güven güvenlik çerçevelerinin önemli bir özelliği olan perspektiflerdeki önemli değişikliklerden biri, varsayılan olarak güvenden özel duruma doğru ilerlemektir. Ancak, güven gerekli olduğunda güven oluşturmak için güvenilir bir yönteme ihtiyacınız vardır. artık isteklerin güvenilir olduğunu varsaymadığınızdan, isteğin güvenilirliğini kanıtlamaya yönelik bir araç oluşturmak, belirli bir noktaya güvenilirliğini kanıtlamak için kritik öneme sahiptir. Bu kanıtlama, isteğin üzerindeki ve çevresindeki etkinliklerin görünürlüğünü elde edebilmeyi gerektirir.

Diğer Sıfır Güven kılavuzlarımızda kimlikler, uç noktalar ve cihazlar, veriler, uygulamalar, altyapı ve genelinde uçtan uca Sıfır Güven yaklaşımını uygulamaya yönelik yaklaşımı tanımladık. Tüm bu yatırımlar görünürlüğünüzü artırarak güven kararları almaya yönelik daha iyi veriler sunar. Ancak, bu altı alanda Sıfır Güven bir yaklaşım benimseyerek Güvenlik İşlem Merkezleri (SOC) analistlerinin azaltması gereken olay sayısını artırmanız gerekir. Analistleriniz, zaten yetenek sıkıntısı olan bir zamanda hiç olmadığı kadar yoğun hale geliyor. Bu durum kronik uyarı yorgunluğuna ve analistlerin kritik uyarıları kaçırmasına neden olabilir.

Tehditleri yönetmek için tümleşik özelliklerin diyagramı.

Bu alanların her biri kendi ilgili uyarılarını oluştururken, tehditlere karşı daha iyi savunma yapmak ve bir işlemdeki güveni doğrulamak için sonuçta elde edilen veri akışını yönetmek için tümleşik bir özelliğe ihtiyacımız vardır.

Aşağıdakileri yapabilmenizi istiyorsunuz:

  • Tehditleri ve güvenlik açıklarını algılama.
  • Araştırmak.
  • Yanıt.
  • Avı.
  • Tehdit analizi aracılığıyla ek bağlam sağlayın.
  • Güvenlik açıklarını değerlendirme.
  • Birinci sınıf uzmanlardan yardım alın
  • Olayların sütunlar arasında gerçekleşmesini engelleyin veya engelleyin.

Tehditleri yönetme, reaktif ve proaktif algılamayı içerir ve her ikisini de destekleyen araçlar gerektirir.

Reaktif algılama , olayların araştırılabilir altı yapıdan birinden tetiklendiği durumlardır. Ayrıca, SIEM gibi bir yönetim ürünü büyük olasılıkla verileri zenginleştirecek ve ilişkilendirecek ve bir olayı kötü olarak işaretleyecek başka bir analiz katmanını destekleyecektir. Sonraki adım, saldırının tüm anlatımını almak için araştırma yapmak olacaktır.

Proaktif algılama , tehlikeye girmiş bir hipotezi kanıtlamak için verilere avlanma uyguladığınız zamandır. Tehdit avcılığı, ihlal edildiğiniz varsayımıyla başlar.

Tehdit avcılığı, COVID-19 kimlik avı saldırıları gibi mevcut tehditlere dayalı bir hipotezle başlar. Analistler bu varsayımsal tehditle başlar, gizliliğin temel göstergelerini belirler ve ortamın gizliliğinin ihlal edildiğinin kanıtı olup olmadığını görmek için verileri arar. Göstergeler varsa, avlanma senaryoları belirli göstergelerin yeniden oluşması durumunda kuruluşlara bildirimde bulunabilecek analizlerle sonuçlanabilir.

Her iki durumda da, bir olay algılandıktan sonra, saldırının tüm hikayesini oluşturmak için olayı araştırmanız gerekir. Kullanıcı başka ne yaptı? Başka hangi sistemler dahil edildi? Hangi yürütülebilir dosyalar çalıştırıldı?

Bir araştırma eyleme dönüştürülebilir öğrenmelerle sonuçlanırsa düzeltme adımları uygulayabilirsiniz. Örneğin, bir araştırma sıfır güven dağıtımındaki boşlukları ortaya çıkarırsa, bu boşlukları gidermek ve gelecekte istenmeyen olayları önlemek için ilkeler değiştirilebilir. Mümkün olduğunda, bir SOC analistinin tehdidi ele alması ve bir sonraki olaya geçmesi için gereken süreyi azalttığı için düzeltme adımlarını otomatikleştirmek istenir.

Tehdit değerlendirmesinin bir diğer önemli bileşeni de alınan verilere karşı bilinen tehdit bilgilerini birleştirir. IP, karma, URL, dosya, yürütülebilir vb. hatalı olduğu biliniyorsa, bunlar tanımlanabilir, araştırılabilir ve düzeltilebilir.

Altyapı yapısında, güvenlik açıklarını gidermek için zaman harcandı. Bir sistemin güvenlik açığı olduğu biliniyorsa ve bu güvenlik açığından yararlanan bir tehdit varsa, bu algılanabilir, araştırılabilir ve düzeltilebilir bir şeydir.

Bu taktikleri tehditleri yönetmek için kullanmak için, SOC yöneticilerinin tehdit bilgilerini algılamasına, araştırmasına, düzeltmesine, avlamasına, tehdit bilgilerini kullanmasına, bilinen güvenlik açıklarını anlamasına, tehdit uzmanlarına dayanmasına ve altı sütundan herhangi birinde tehditleri engellemesine olanak sağlayan merkezi bir konsola sahip olmanız gerekir. Bu aşamaları desteklemek için gereken araçlar, tek bir iş akışına yakınsanıyorsa en iyi şekilde çalışır ve SOC analistinin verimliliğini artıran sorunsuz bir deneyim sağlar.

Güvenlik İşlem Merkezleri genellikle tehditleri toplamak, algılamak, araştırmak ve yanıtlamak için SIEM ve SOAR teknolojilerinin bir bileşimini dağıtır. Microsoft, Microsoft Sentinel'i hizmet olarak SIEM teklifi olarak sunar. Microsoft Sentinel tüm Kimlik için Microsoft Defender ve üçüncü taraf verilerini alır.

Azure Sentinel'in önemli bir akışı olan Microsoft 365 Defender, tüm Microsoft 365 bileşenlerinde bağlama duyarlı koruma, algılama ve yanıt sunan birleşik bir kurumsal savunma paketi sağlar. Microsoft 365 kullanan müşteriler, bağlama duyarlı ve eşgüdümlü olarak uç noktalar, işbirliği araçları, kimlikler ve uygulamalar arasında görünürlük ve koruma elde edebilir.

Bu hiyerarşi sayesinde müşterilerimizin odaklarını en üst düzeye çıkarmalarını sağlıyoruz. Bağlam tanıma ve otomatik düzeltme olsa da, Microsoft 365 Defender zaten aşırı yüklenmiş SOC personeline ek uyarı yorgunluğu eklemeden birçok tehdidi algılayabilir ve durdurabilir. Microsoft 365 Defender'ın içinde gelişmiş avlanma, birçok önemli saldırı noktasına odaklanmak için bu bağlamı aramaya getirir. Azure Sentinel aracılığıyla tüm ekosistem genelinde avlanma ve düzenleme, heterojen bir ortamın tüm yönlerine doğru görünürlük elde etme ve operatörün bilişsel aşırı yüklemesini en aza indirme olanağı sağlar.

Görünürlük, otomasyon ve düzenleme Sıfır Güven dağıtım hedefleri

Görünürlük, otomasyon ve düzenleme için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

Bir onay işareti olan liste simgesi.

I.Görünürlük sağlayın.

II.Otomasyonu etkinleştirin.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

İki onay işareti olan liste simgesi.

III.Ek koruma ve algılama denetimlerini etkinleştirin.

Görünürlük, otomasyon ve düzenleme Sıfır Güven dağıtım kılavuzu

Bu kılavuz, bir Sıfır Güven güvenlik çerçevesinin ilkelerini izleyerek görünürlüğü, otomasyonu ve düzenlemeyi yönetmek için gereken adımlarda size yol gösterir.




Bir onay işareti olan denetim listesi simgesi.

İlk dağıtım hedefleri

I. Görünürlük oluşturma

İlk adım, Microsoft Tehdit Koruması'nı (MTP) etkinleştirerek görünürlük sağlamaktır.

Şu adımları izleyin:

  1. Microsoft 365 Defender iş yüklerinden birine kaydolun.
  2. İş yüklerini etkinleştirin ve bağlantı kurun.
  3. Cihazlarınızda ve altyapınızda algılamayı yapılandırarak ortamda devam eden etkinliklere anında görünürlük sağlayın. Bu, kritik veri akışını başlatmak için tüm önemli "arama tonunu" sağlar.
  4. Microsoft 365 Defender'ın iş yükleri arası görünürlük ve olay algılama elde etmelerini sağlayın.

II. Otomasyonu etkinleştirme

Görünürlük oluşturduktan sonraki önemli adım, otomasyonu etkinleştirmektir.

Otomatik araştırma ve düzeltme

Microsoft 365 Defender ile hem araştırmaları hem de düzeltmeyi otomatik hale geldik ve bu da temelde ek katman 1 SOC analizi sağlıyor.

Otomatik Araştırma ve Düzeltme (AIR) aşamalı olarak etkinleştirilebilir, böylece kullanılabilecek eylemlerle bir konfor düzeyi geliştirebilirsiniz.

Şu adımları izleyin:

  1. Test grubu için AIR'i etkinleştirin.
  2. Araştırma adımlarını ve yanıt eylemlerini analiz edin.
  3. Algılama ve yanıt süresini kısaltmak için tüm cihazlar için aşamalı olarak otomatik onay sürecine geçin.

Sıfır Güven modeli dağıtmanın neden olduğu olaylara görünürlük sağlamak için, olay araştırması ve yanıtı için merkezi bir platform sağlamak amacıyla Microsoft 365 Defender, Microsoft Purview Data Bağlan ors ve ilgili üçüncü taraf ürünlerini Azure Sentinel'e bağlamak önemlidir.

Veri bağlantısı işleminin bir parçası olarak, olayları tetikleme amacıyla ilgili analiz etkinleştirilebilir ve zaman içinde verilerin grafik gösterimi için çalışma kitapları oluşturulabilir.

Makine öğrenmesi ve füzyon analizi kullanıma hazır olsa da, bilinen kötü varlıklarla ilgili olayların tanımlanmasına yardımcı olmak için tehdit bilgileri verilerini Microsoft Sentinel'e almak da yararlıdır.




İki onay işareti içeren denetim listesi simgesi.

Ek dağıtım hedefleri

III. Ek koruma ve algılama denetimlerini etkinleştirme

Ek denetimlerin etkinleştirilmesi, görünürlüğünüzü ve yanıtları düzenleme yeteneğinizi geliştirmek için Microsoft 365 Defender ve Sentinel'e gelen sinyali geliştirir.

Saldırı yüzeyi azaltma denetimleri bu tür bir fırsatı temsil eder. Bu koruyucu denetimler yalnızca kötü amaçlı yazılımlarla en çok ilişkili olan belirli etkinlikleri engellemekle kalmaz, aynı zamanda sürecin başlarında bu tekniklerden yararlanan saldırganları algılamaya yardımcı olabilecek belirli yaklaşımları kullanma girişimlerine de neden olur.

Bu kılavuzda ele alınan ürünler

Microsoft Azure

Kimlik için Microsoft Defender

Microsoft Sentinel

Microsoft 365

Microsoft Tehdit Koruması



Sıfır Güven dağıtım kılavuzu serisi

Giriş simgesi

Kimlik simgesi

Uç noktalar simgesi

Uygulamalar simgesi

Veri simgesi

Altyapı simgesi

Ağlar için simge

Görünürlük, otomasyon, düzenleme simgesi